Para instalaciones de VMware Aria Automation en redes aisladas sin acceso directo a Internet, puede utilizar un servidor proxy de Internet para permitir la funcionalidad de Internet mediante proxy. El servidor proxy de Internet es compatible con HTTP y HTTPS.

Para configurar y utilizar proveedores de nube pública, como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP), y también puntos de integración externos, como IPAM, Ansible y Puppet, con VMware Aria Automation, debe configurar un servidor proxy de Internet para acceder al servidor proxy interno de Internet de VMware Aria Automation.

VMware Aria Automation contiene un servidor proxy interno que se comunica con el servidor proxy de Internet. Este servidor se comunica con el servidor proxy si se ha configurado con el comando vracli proxy set .... Si no ha configurado un servidor proxy de Internet para su organización, el servidor proxy de VMware Aria Automation interno intenta conectarse directamente a Internet.

Puede configurar VMware Aria Automation para utilizar un servidor proxy de Internet mediante la utilidad de línea de comandos vracli proporcionada. Para obtener información sobre cómo utilizar la API de vracli, utilice el argumento --help en la línea de comandos vracli , por ejemplo vracli proxy –-help.

Para acceder al servidor proxy de Internet, se deben usar los controles integrados locales de extensibilidad basada en acciones (Actions-Based Extensibility, ABX) que se incluyen en VMware Aria Automation.

Nota:

El acceso a Workspace ONE Access no es compatible con el proxy de Internet. No se puede utilizar el comando vracli set vidm para acceder a Workspace ONE Access a través del servidor proxy de Internet.

El servidor proxy interno requiere IPv4 como formato de IP predeterminado. No requiere restricciones de protocolo de Internet, autenticación ni acciones de intermediario en el tráfico de certificado TLS (HTTPS).

Todo el tráfico de red externa atraviesa el servidor proxy de Internet. El tráfico de red interno omite el proxy.

Requisitos previos

  • Compruebe que en la red de VMware Aria Automation tenga un servidor HTTP o HTTPS existente, que pueda utilizar como servidor proxy de Internet y que pueda transferir tráfico saliente a sitios externos. La conexión debe configurarse para IPv4.
  • Compruebe que el servidor proxy de Internet de destino esté configurado para admitir IPv4 como el formato de IP predeterminado.
  • Si el servidor proxy de Internet utiliza TLS y necesita una conexión HTTPS con los clientes, antes de establecer la configuración del proxy, debe importar el certificado de servidor mediante uno de los siguientes comandos.
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      Utilice el parámetro stdin para entrada interactiva.

Procedimiento

  1. Cree una configuración de proxy para los pods o los contenedores que utilizan los Kubernetes. En este ejemplo, se accede al servidor proxy mediante el esquema HTTP.

    vracli proxy set --host http://proxy.vmware.com:3128

  2. Muestre la configuración del proxy.

    vracli proxy show

    El resultado será similar al siguiente:
    {
        "enabled": true,
        "host": "10.244.4.51",
        "java-proxy-exclude": "*.local|*.localdomain|localhost|10.244.*|192.168.*|172.16.*|kubernetes|sc2-rdops-vm06-dhcp-198-120.eng.vmware.com|10.192.204.9|*.eng.vmware.com|sc2-rdops-vm06-dhcp-204-9.eng.vmware.com|10.192.213.146|sc2-rdops-vm06-dhcp-213-146.eng.vmware.com|10.192.213.151|sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "java-user": null,
        "password": null,
        "port": 3128,
        "proxy-exclude": ".local,.localdomain,localhost,10.244.,192.168.,172.16.,kubernetes,sc2-rdops-vm06-dhcp-198-120.eng.vmware.com,10.192.204.9,.eng.vmware.com,sc2-rdops-vm06-dhcp-204-9.eng.vmware.com,10.192.213.146,sc2-rdops-vm06-dhcp-213-146.eng.vmware.com,10.192.213.151,sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "scheme": "http",
        "upstream_proxy_host": null,
        "upstream_proxy_password_encoded": "",
        "upstream_proxy_port": null,
        "upstream_proxy_user_encoded": "",
        "user": null,
        "internal.proxy.config": "dns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\naccess_log stdio:/tmp/logger squid\ncoredump_dir /\ncache deny all \nappend_domain .prelude.svc.cluster.local\nacl mylan src 10.0.0.0/8\nacl mylan src 127.0.0.0/8\nacl mylan src 192.168.3.0/24\nacl proxy-exclude dstdomain .local\nacl proxy-exclude dstdomain .localdomain\nacl proxy-exclude dstdomain localhost\nacl proxy-exclude dstdomain 10.244.\nacl proxy-exclude dstdomain 192.168.\nacl proxy-exclude dstdomain 172.16.\nacl proxy-exclude dstdomain kubernetes\nacl proxy-exclude dstdomain 10.192.204.9\nacl proxy-exclude dstdomain .eng.vmware.com\nacl proxy-exclude dstdomain 10.192.213.146\nacl proxy-exclude dstdomain 10.192.213.151\nalways_direct allow proxy-exclude\nhttp_access allow mylan\nhttp_access deny all\n# End autogen configuration\n",
        "internal.proxy.config.type": "default"
    }
    
    Nota: Si ha configurado un servidor proxy de Internet para su organización, "internal.proxy.config.type": "non-default" aparece en el ejemplo anterior en lugar de 'default'. Por motivos de seguridad, no se muestra la contraseña.
    Nota: Si utiliza el parámetro -proxy-exclude, debe editar los valores predeterminados. Por ejemplo, si desea agregar acme.com como dominio al que no se puede acceder a través del servidor proxy de Internet, siga estos pasos:
    1. Introduzca vracli proxy default-no-proxy para obtener la configuración predeterminada de exclusión de proxy. Esta es una lista de dominios y redes generados automáticamente.
    2. Edite el valor para agregar .acme.com.
    3. Introduzca vracli proxy set .... --proxy-exclude ... para actualizar la configuración.
    4. Ejecute el comando /opt/scripts/deploy.sh para volver a implementar el entorno.
  3. (opcional) Excluya los dominios de DNS, los FQDN y las direcciones IP para que el servidor proxy de Internet no acceda a ellos.

    Modifique siempre los valores predeterminados de la variable proxy-exclude con parameter --proxy-exclude. Para agregar el dominio exclude.vmware.com, en primer lugar utilice el comando vrali proxy show, copie la variable proxy-exclude y agregue el valor de dominio mediante el comando vracli proxy set ... como se indica a continuación:

    vracli proxy set --host http://proxy.vmware.com:3128 --proxy-exclude "exclude.vmware.com,docker-registry.prelude.svc.cluster.local,localhost,.local,.cluster.local,10.244.,192.,172.16.,sc-rdops-vm11-dhcp-75-38.eng.vmware.com,10.161.75.38,.eng.vmware.com"
    Nota: Agregue elementos a proxy-exclude en lugar de reemplazar valores. Si elimina los valores predeterminados de proxy-exclude, VMware Aria Automation no funciona correctamente. Si esto ocurre, elimine la configuración del proxy y comience de otra vez.
  4. Después de configurar el servidor proxy de Internet con el comando vracli proxy set ..., puede utilizar el comando vracli proxy apply para actualizar la configuración del servidor proxy de Internet y activar la última configuración del proxy.
  5. Si aún no lo ha hecho, active los cambios del script ejecutando el siguiente comando:

    /opt/scripts/deploy.sh

  6. (opcional) Si es necesario, configure el servidor proxy para que admita acceso externo en el puerto 22.

    Para admitir integraciones como Puppet y Ansible, el servidor proxy debe permitir que el puerto 22 acceda a los hosts pertinentes.

Ejemplo: Configuración de Squid de ejemplo

En relación con el paso 1, si está configurando un proxy Squid, puede ajustar la configuración en /etc/squid/squid.conf para adaptarla a la siguiente muestra:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on